Tal y como alertábamos en la anterior nota, este nuevo gusano ha
protagonizado una propagación explosiva, llegándose a contabilizar
cientos de miles de mensajes infectados en apenas sus primeras horas
de vida. Durante toda la madrugada la actividad de los laboratorios
antivirus ha sido frenética, y a primera hora de la mañana todos
contaban con la correspondiente actualización. En esta entrega
analizaremos además la estrategia seguida por el gusano para engañar
e infectar a los usuarios, así como el resto de características.
La reacción de las diferentes soluciones antivirus, en ofrecer la
actualización pertinente a sus usuarios para detectar el nuevo
gusano, ha sido la siguiente:
TrendMicro, el 26/01/2004 a las 23:52:29 como WORM_MIMAIL.R
NOD32, el 27/01/2004 a las 00:55:43 como Win32/Mydoom.A
Antigen, el 27/01/2004 a las 01:39:51 como MyDoom.A@mm
Norton, el 27/01/2004 a las 01:50:13 como W32.Novarg.A@mm
Kaspersky, el 27/01/2004 a las 02:08:53 como I-Worm.Novarg
Sophos, el 27/01/2004 a las 02:09:19 como Win32/MyDoom-A
InoculateIT, el 27/01/2004 a las 02:28:42 como Win32.Shimg.Worm
Panda, el 27/01/2004 a las 05:39:04 como W32/Mydoom.A.worm
McAfee, el 27/01/2004 a las 05:57:49 como W32/Mydoom@MM
Estos datos pertenecen a las soluciones antivirus monitorizadas
24hx7d por el laboratorio de Hispasec. Destacan los distintos nombres
con los que el gusano ha sido bautizado (Mimail.R, Mydoom, Novarg y
Shimg), y como en prácticamente 6 horas se han concentrado todas
las actualizaciones de los diferentes productos, muestra del
peligro que representa el gusano.
Táctica del gusano para engañar a los usuarios
Este gusano no infecta de forma automática a los sistemas, a
diferencia de aquellos, como Blaster, que se aprovechaban de
vulnerabilidades de los productos de Microsoft. En este caso, el
usuario debe abrir y ejecutar el archivo que contiene el gusano para
infectar su sistema.
Para engañar a los usuarios, el gusano suele llegar adjunto en un
mensaje que simula haber tenido algún problema con el servidor de
correo. Entre otras «excusas», el mensaje del gusano puede indicar
que el correo electrónico contenía caracteres no válidos y ha
requerido enviarlo como archivo binario adjunto. Algunos de estos
mensajes «trampa» son:
– «The message cannot be represented in 7-bit ASCII encoding and has
been sent as a binary attachment».
– «The message contains Unicode characters and has been sent as a
binary attachment.»
– «Mail transaction failed. Partial message is available.»
Aunque también se han recibido muestras con otros textos o con el
cuerpo del mensaje vacío.
Los textos más comunes que aparecen en el asunto del mensaje son:
test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error
El archivo adjunto, donde viaja el código del gusano, es un ejecutable
con extensión .BAT, .CMD, .EXE, .PIF, .SCR o como ZIP, su icono en
Windows simula ser un archivo de texto y también se han detectado
casos en los que aparece como acceso directo de MsDos, entre los
nombres más comunes reportados se encuentran:
readme
file
text
doc
hello
body
message
test
document
data
Cuando se ejecuta en un sistema crea los siguientes archivos:
– «Message» en el directorio temporal de Windows
– «shimgapi.dll» y «taskmon.exe» en el directorio de sistema (system)
de Windows
El archivo «Message» lo crea con caracteres al azar, y muestra su
contenido ilegible con el bloc de notas. Con este efecto el gusano
intenta engañar al usuario, para que crea que el archivo adjunto en
el e-mail que ha ejecutado era sólo texto sin sentido debido a algún
error del correo electrónico, cuando en realidad ha activado el gusano
y da comienzo su rutina de infección y propagación.
Infección del sistema
Añade las siguientes entradas en el registro de Windows para
asegurarse su ejecución en cada inicio del sistema:
– HKEY_CURRENT_USER\Software\Microsft\Windows\CurrentVersion\Run
TaskMon = %System%\taskmon.exe
– HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
TaskMon = %System%\taskmon.exe
El archivo «taskmon.exe», puede sobreescribir a un ejecutable
legítimo de Windows que tiene el mismo nombre, por lo que los usuarios
no se deben alertar por encontrar únicamente este nombre de archivo en
sus sistemas. Para corroborar la infección deben comprobar el resto de
síntomas aquí descritos o utilizar un antivirus puntualmente
actualizado.
Adicionalmente crea las siguientes entradas en el registro de Windows:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\
ComDlg32\Version
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
ComDlg32\Version
Puerta trasera
El archivo «shimgapi.dll» es inyectado en el ejecutable de Windows
«explorer.exe» a través de la siguiente entrada en el registro:
HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer3
2
«(Default)» = %SysDir%\shimgapi.dll
Esta DLL actúa como proxy, abriendo un puerto TCP en el sistema en el
rango 3127-3198, que permite el acceso de terceras personas. Además
cuenta con funcionalidades para descargar y ejecutar programas de
forma arbitraria, lo que posibilita todo tipo de acciones.
Propagación por correo electrónico
Una vez infecta un sistema, el gusano recoge direcciones de correo a
las que enviarse buscando en los archivos con extensión .htm, .sht,
.php, .asp, .dbx, .tbb, .adb, .pl, .wab y .txt. El formato del
mensaje en el que se autoenvía es el que describimos con anterioridad,
haciéndose pasar por un problema en el envío o visualización del
correo electrónico.
Como curiosidad, parece ser que el autor del gusano ha querido tener
cierto trato de favor con las universidades de Estados Unidos, ya que
evita enviarse a las direcciones de e-mail que finalizan en .edu
Propagación a través del cliente KaZaa (red P2P)
En los sistemas que infecta localiza la carpeta de archivos
compartidos del cliente P2P KaZaa y se copia con la extensión .pif,
.scr, .bat o .exe y alguno de los siguientes nombres:
nuke2004
office_crack
rootkitXP
strip-girl-2.0bdcom_patches
activation_crack
icq2004-final
winamp
Para que otro usuario se infecte a través de esta vía, es necesario
que realice en la red P2P una búsqueda por alguno de los nombres
utilizados por el gusano, que proceda a su descarga, y ejecute el
archivo.
En realidad esta vía de contagio es apenas insignificante en
comparación con la propagación alcanzada por correo electrónico.
Ataque por denegación de servicio distribuido
El gusano contiene un payload o efecto que se activa a partir del 1 de
febrero, dejará de propagarse a través del correo electrónico para
iniciar un ataque por denegación de servicio contra el dominio
http://www.sco.com. Este ataque también tiene fecha de caducidad, ya que el
gusano dejará de realizar peticiones GET al puerto 80 de sco.com a
partir del 12 de febrero, fecha a partir de la cual sólo quedará activa
la puerta trasera en el sistema infectado a través del puerto TCP
abierto.
Al parecer el creador del gusano tiene interés en perjudicar al
grupo SCO, empresa que está en los últimos tiempos en el punto de
mira de la comunidad Linux, ya que demandó a IBM argumentando que el
código fuente de Linux contiene fragmentos copiados del Unix de SCO,
supuesto plagio que hasta el momento ha sido incapaz de demostrar.
Prevención
Como siempre la regla de oro a seguir es no abrir o ejecutar archivos
potencialmente peligrosos, sobre todo si no hemos demandado su envío.
Adicionalmente, contar con soluciones antivirus correctamente
instaladas y puntualmente actualizadas. También resulta útil seguir
los foros de seguridad o listas como «una-al-día», para estar al
tanto de las últimas amenazas que nos pueden afectar.
bernardo@hispasec.com
Más información:
Alerta: gusano de propagación masiva (Novarg/Mydoom/Mimail.R)
http://www.hispasec.com/unaaldia/1919
